💭

モバイルアプリの解析用メモ

2022/09/25に公開

モバイルアプリを解析する際に使うツール達です
自分用のメモですが役に立てば幸いです

モバイルアプリ等のハッキングの種類一覧

  • SSLピンニングバイパス
  • メモリハック
  • データ復号
  • 通信内容の書き換え
  • ローカル情報の書き換え
  • アプリ内課金(IAP)バイパス
  • ソースコード書き換え
  • パッチ当て
  • Man-In-The-Middle(MITM)攻撃

後でまとめるツール達

名前 説明
SSL-Kill-Switch2 OSとmacOSのアプリケーションでSSL/TLS証明書の検証(証明書のピン留めを含む)を無効にするブラックボックスツール。
APK-Medit root & ndkなしでデバッグ可能なapkのためのメモリ検索とパッチツールです。(CUI)
IPA-Medit 脱獄せずにipaをリセマラするためのメモリ検索・パッチツールです。(CUI)
Jadx Javaの逆コンパイラ
JD GUI Javaの逆コンパイラ。
EclipseおよびIntelliJ IDEA統合開発環境用のプラグイン。
AES Killer BurpSuiteの拡張機能。AESで暗号化されたトラフィックを復号化する。
MobSF 侵入テスト、マルウェア分析、および静的および動的分析を実行できる万能フレームワーク
Frida モバイルアプリケーションの動的解析ツール
Fiddler Web アプリケーションデバッグ用ツール
Objection Fridaを利用したランタイムモバイル探索ツールキット。
使い方

APK解析等に使うツール達

名前 説明
Dex2Jar androidの.dexやjavaの .class ファイル用のツール。
dex2jarは、Androidアプリのapkファイルの解析をするときに利用する
Il2CppDumper IL2CPP ビルドされた APK から .NET のメタデータを抽出できる。リバースエンジニアリングツールです。
Apksigner Googleが提供してるapkを署名してくれるツール
Apktool Android アプリをリバース エンジニアリングするためのツール。
ApkUtil Apktoolのラッパー。APKの再署名、機密性の高いファイルチェック、APKの確認を簡単にするツール

通信解析ツール

名前 説明
BurpSuite Webアプリケーションセキュリティの検証のためのローカルプロキシツール。
--参考記事--
エミュレーターとBurp SuiteでAndroidアプリのHTTP通信をキャプチャする
OWASP Zap オープンソースの Web アプリケーション セキュリティ スキャナー。
--参考記事--
Web脆弱性診断ツール「OWASP ZAP」とは
WireShark ネットワーク・アナライザ・ソフトウェア

やられアプリ

ためになるサイト集

  • OWASP-MASTG : モバイルのセキュリティについてまとめてあるサイト。
  • Android Developerd : Androidに関する情報が沢山ある。日本語からEnglishにすると情報が増えるときがある。

Discussion